Hackers, l’analyse : épisode 2

co-écrit par Pierrick et Guillaume

La Business Unit Risk & Security de Beijaflore vous propose un regard inédit sur le film « Hackers ». Découvrez en 4 épisodes notre critique des attaques du film : l’attaque a-t-elle déjà été perpétrée dans la réalité ? La présentation faite par le film est-elle vraisemblable ? Quelles sont les bonnes pratiques pour s’en protéger ?

Ce mois-ci dans l’épisode 2 : Le piratage de la bourse de New York… le soja vaut des millions !

La deuxième victime du RAT n’est autre que la bourse de New York. Des millions de dollars passent aux mains des pirates en quelques secondes…

Comment l’attaque se déroule-t-elle dans « Hackers »… ?

Si vous avez lu l’épisode 1, vous savez désormais ce qu’est un RAT, et vous savez également que c’est cet outil que nos « Hackers » ont utilisé pour prendre le contrôle à distance de deux centrales nucléaires (et si vous ne savez pas ou plus, vous pouvez toujours tricher ici : https://blogrisqueetsecurite.beijaflore.com/post/2015/08/28/hackers-l-analyse-du-film-episode-1.aspx#continue 🙂

Peu de temps après ces attaques, notre RAT fait une nouvelle victime : la bourse de New-York. Concrètement, le film permet de voir le prix du soja exploser en quelques secondes, permettant aux pirates d’empocher la coquette somme de 75 millions d’euros. Techniquement en revanche, le film est un peu avare de détails.

L’étape critique,  l’intrusion du RAT dans le système d’information, n’est en particulier pas décrite.  Une fois introduit, il est probable que le RAT ait permis au pirates de prendre le contrôle de la partie du système qui détermine les cours des matières premières afin de modifier le cours du soja. Mais le film ne s’étend pas sur la façon dont le logiciel malveillant fait pour modifier le cours du soja. Et pour cause… ce type d’attaque est assez peu vraisemblable !

Et dans la réalité, ça donne quoi ?

Sans faire un cours sur la Bourse, il est dans la réalité plus simple et efficace d’impacter le cours d’une action en agissant sur son écosystème qu’en essayant de pirater les systèmes automatiques de calcul d’indices et de cours. Ceux-ci sont d’ailleurs au cœur de la stratégie de protection informatique des Bourses. Dans la réalité, les attaques visant à modifier le cours d’une action en sa faveur passent plutôt  par le vol d’information avant publication (du côté des agences de presse, dans le but d’anticiper des placements), la désinformation (manipulation des informations et production de fausses informations), ou encore la paralysie des systèmes d’information de la Bourse (par attaque DDoS par exemple).

Ainsi, de 2010 à 2015, deux hackers Ukrainiens ont aidé des traders à obtenir avant leur publication des informations concernant une trentaine de grosses entreprises[1]. Si les conséquences de la fraude ont bien été ressenties sur les cours de Bourse des sociétés cibles, ce sont en réalité les serveurs de plusieurs sociétés de publication des communiqués d’entreprises qui ont été piratés afin d’obtenir avant communication au grand public des informations sur ces grands comptes permettant de faire des placements stratégiques. Les traders commandaient tout simplement leurs demandes d’information aux deux hackers ukrainiens…

En Août 2011, c’est un hacker chinois qui agit cette fois afin de prouver que les systèmes Boursiers sont sensibles au risque d’attaques DDoS[2]… cet homme d’affaire souhaitait promouvoir sa méthode de protection contre ce type d’attaque ! Il a donc lancé 2 attaques DDoS visant la bourse de Honk-Kong. Ces deux attaques étaient réussies puisqu’elles lui ont permis d’avoir accès pendant respectivement 390 et 70 secondes au système d’information  de l’HKEx. Son action a entrainé la suspension des transactions pendant plusieurs heures de 7 entreprises, dont la valeur boursière combinée atteint les 150 milliards d’euros. Il fut condamné à 9 mois de prison pour l’exemple.

Enfin, plus récemment en 2013, un faux tweet fait perdre 143 points au Dow Jones en à peine 3 minutes[3]. En effet« L’Armée électronique Syrienne », après une campagne de phishing, avait obtenu les identifiants et mots de passe du compte twitter d’Associated Press. Ce 21 avril, elle publie en son nom: « Breaking : Two Explosions in the White House and Barack Obama is injured ». Le message est démenti 3 minutes plus tard seulement, mais le mal est fait : le tweet a déjà été repris plusieurs millions de fois et la perte estimée par la Bourse  de New York est d’environ 136 milliards de dollars.

Le scénario est-il bien réaliste… ?!

On comprendra donc que, dans la réalité, l’attaque décrite dans « Hackers » est peu probable. Pouvoir modifier le cours d’une matière première avec une telle ampleur en agissant  uniquement sur le logiciel de calcul de la Bourse est difficilement envisageable. Et quand bien même des variations sensibles et non justifiées médiatiquement s’effectuent suite à une attaque informatique, les systèmes boursiers se coupent automatiquement sur le secteur concerné et ne sont relancés qu’une fois le problème  identifié et résolu.

Et…comment s’en protège-t-on ?

Nous avons présenté dans notre article précédent (« Hackers – épisode 1 » [4]) commentréduire les risques d’introduction d’un RAT sur le système d’information.

Par ailleurs, il est primordial de mettre en place une stratégie de protection afin de se prémunir des attaques par déni de service : la mise en œuvre de  filtrage en bordure du réseau (pare-feu, répartiteurs de charge) et la segmentation de celui-ci en tiers constituent des bonnes pratiques de base afin d’améliorer la résistance à une attaque par déni de service. Il est possible d’aller plus loin dans la protection en faisant appel à des équipements spécifiques de filtrage aux attaques DDoS ou à des prestations de protection externalisée.

Il reste important également de traiter dans sa stratégie de sécurisation la détection d’attaques à l’intérieur du réseau (notamment en cas d’APT).

Enfin, les attaques citées en exemple dans cet article nous enseignent une nouvelle fois cette leçon : les partenaires, et plus largement les sociétés évoluant dans l’écosystème de la société cible doivent également se protéger (dans le cas qui nous intéresse, les sociétés de publication des communiqués de presse). Le défaut de protection chez une société de l’écosystème dans lequel vous évoluez peut avoir un impact sur votre activité, même si vos systèmes d’information ne sont pas connectés.

Retrouvez ici l’épisode 1 : la prise de contrôle à distance des équipements d’une centrale nucléaire.

[1]http://www.latribune.fr/bourse/aides-par-des-hackers-ukrainiens-des-traders-empochent-100-millions-de-dollars-497819.html

[2]http://www.mag-securs.com/news/articletype/articleview/articleid/29497/categoryid/64/9-mois-de-prison-pour-le-hacker-de-la-bourse-de-hong-kong.aspx

[3]http://www.france24.com/fr/20130424-ap-twitter-hack-piratage-explosion-maison-blanche-effet-bourse-wall-street-high-frequency-trading#./20130424-ap-twitter-hack-piratage-explosion-maison-blanche-effet-bourse-wall-street-high-frequency-trading?&_suid=144439654846907522516240348052

[4] https://blogrisqueetsecurite.beijaflore.com/post/2015/08/28/hackers-l-analyse-du-film-episode-1.aspx#continue